Loi fédérale sur la surveillance de la correspondance par poste et télécommunication. Garantir le principe de proportionnalité
19.4031 · Postulat · 2019-09-16
Département de justice et police
Liquidé
Wortlaut
Le Conseil fédéral est chargé de soumettre un rapport dans lequel il présentera les modifications à apporter à la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) afin que les mesures de surveillance que doivent prendre les fournisseurs de services de télécommunication restent proportionnées, et en particulier afin que les coûts que ces fournisseurs doivent assumer du fait des obligations qui leur incombent ne soient pas disproportionnés.
Begründung
La LSCPT est une bonne loi qui vise un objectif honorable. Dans son message, le Conseil fédéral le décrivait comme suit : "L'objectif principal de la ... LSCPT est de permettre la surveillance des personnes fortement soupçonnées d'avoir commis des infractions graves. Comme c'est déjà le cas aujourd'hui, il n'est pas question d'autoriser une surveillance de monsieur tout le monde sans qu'il y ait soupçon d'infraction ni même d'autoriser des surveillances préventives ; la liberté personnelle est ainsi sauvegardée".
Pour atteindre cet objectif, les fournisseurs de services de télécommunication se voient imposer des obligations, notamment l'enregistrement des données pendant six mois ou la remise des données. Le législateur entendait faire une exception pour les petits fournisseurs de services, et donc leur éviter les lourdes charges financières qui découlent de cette obligation de surveillance, en leur imposant uniquement une obligation de tolérer la surveillance, mais cet allègement n'a pas été mis en oeuvre à ce jour. Aussi seules 25 % des entreprises qui répondraient aux critères du législateur ont des obligations moins étendues en matière de surveillance, ce qui signifie que 75 % des PME doivent remplir la totalité des obligations prévues.
La situation des fournisseurs de services de communication dérivés est encore moins favorable. L'ordonnance considère en effet qu'ils sont soumis à la loi, alors que celle-ci ne dit rien de tel. Concrètement, toute entreprise qui propose des services en ligne est ainsi soumise à la LSCPT et doit donc mettre en oeuvre la surveillance. Le coût des mesures qu'elles doivent mettre en place à cet effet s'élève souvent à 40 000 voire à 100 000 francs par an et elles doivent les assumer seules. On est en droit de se demander pourquoi ces coûts sont si élevés.
C'est pourquoi il faut revenir à la volonté du législateur. Le Conseil fédéral est ainsi prié de montrer quelles mesures pourraient faciliter la mise en oeuvre de la LSCPT pour les PME, par exemple soumettre automatiquement les PME à des obligations moins étendues, aménager leurs obligations de collaboration de manière à réduire les coûts, exclure les fournisseurs de services de communication dérivés du champ d'application de la loi et établir des "listes blanches".
Antrag des Bundesrates
Le Conseil fédéral propose de rejeter le postulat.
Stellungnahme des Bundesrates
La volonté du législateur d'exonérer les petits fournisseurs de services de télécommunication (FST) des obligations de surveillance nécessitant des investissements financiers importants est déjà mise en oeuvre. Le Conseil fédéral a prévu au niveau de l'ordonnance (art. 51 OSCPT ; RS 780.11) la possibilité pour la grande majorité des FST de se libérer de certaines obligations de surveillance. Il estime que le nombre de FST soumis à toutes les obligations en matière de surveillance va diminuer de quelque 600 selon l'ancien droit à environ 25 selon le nouveau droit, évitant ainsi aux entreprises de la branche de coûteux investissements.
Les FST ayant des obligations restreintes en matière de surveillance doivent uniquement garantir au Service SCPT l'accès à leurs installations, lorsque c'est nécessaire pour une surveillance, fournir les renseignements nécessaires à cette surveillance et livrer les données secondaires de télécommunication dont ils disposent. Ils n'ont cependant aucune obligation d'enregistrer des données ni de prendre d'autres mesures préparatoires coûteuses.
Les entreprises remplissant les conditions pour être rétrogradées peuvent faire une demande en ce sens de manière simple et non bureaucratique, directement en ligne, via l'extranet du Service SCPT. L'intérêt pour les FST de présenter cette demande est de disposer ensuite d'une décision contraignante du Service SCPT clarifiant leurs droits et leurs obligations.
Ce premier contact revêt une importance cruciale : le Service SCPT sait qui est son interlocuteur dans l'entreprise concernée. Il peut procéder à l'échange des chiffrements et mettre en place des dispositions administratives importantes pour être en mesure d'exécuter une surveillance dans les meilleurs délais en lieu et place d'un FST ayant des obligations restreintes. On évite ainsi, le moment venu, de perdre un temps précieux pouvant entraîner des lacunes dans la surveillance.
Si tous les FST étaient considérés, directement sur la base de l'ordonnance et sans devoir en faire la demande, comme devant uniquement tolérer une surveillance, le Service SCPT devrait rechercher jusqu'au dernier tous les petits fournisseurs afin d'établir un premier contact indispensable pour être prêt en cas de nécessité, ce qui ne serait guère réalisable dans la pratique. En outre, un tel système ne constituerait guère un allègement pour les FST, mais il entraînerait un surcroît de travail administratif pour le Service SCPT.
Pour ce qui concerne les fournisseurs de services de communication dérivés (FSCD), c'était le législateur qui a souhaité régler leurs obligations de collaboration au niveau de la loi (art. 22 al. 3 et 4, art. 27 LSCPT ; RS 780.1). Un FSCD a encore moins d'obligations qu'un FST ayant des obligations restreintes, puisqu'il ne doit livrer au Service SCPT pour les renseignements, que les indications dont il dispose, et pour les surveillances, que les données secondaires qu'il a enregistrées. Pour le reste, le FSDC doit simplement garantir au Service SCPT l'accès à ses installations et fournir les renseignements nécessaires à l'exécution de la surveillance. Le FSCD n'a cependant aucune obligation d'enregistrer des données et n'encourt donc pas de dépenses à ce titre. Ce n'est que lorsqu'un FSCD répond à certaines conditions, notamment celle d'avoir réalisé un chiffre d'affaires annuel en Suisse de 100 millions de francs pendant deux exercices consécutifs, qu'il est déclaré comme ayant des obligations étendues en matière de fourniture de renseignements ou de surveillance (art. 22 et 52 OSCPT) et qu'il encourt des frais à ce titre.
Les dispositions exposées ci-dessus représentent un compromis qui allège considérablement la charge des entreprises et qui n'entraîne pas un surcroît de travail administratif.
Le Conseil fédéral propose de rejeter le postulat.